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Streszczenie. Przedstawiamy algorytm Winograda i dowód jego poprawności. 


1. Wprowadzenie 


Algorytm Winograda może być przydatny w obliczaniu iloczynu macierzy kwadratowych, szczególnie 
gdy elementami macierzy są obiekty reprezentujące jakieś ciało inne od ciała liczb rzeczywistych. Tzn. 
w przypadku gdy dane ciało C jest zaimplementowane w programie przez klasę C. 

Drugim i ważniejszym powodem do skreślenia tej notatki jest potrzeba zwrócenia uwagi na znikomą 
przydatność asercji i tzw. programowania przez kontrakt (ang. design by contract). Asercje są przydatne 
jako notatki, ale nie stanowią rozwiązania problemu zapewnienia poprawności algorytmu. 

Zapraszam do czytania, zwłaszcza rozdziału Dowód poprawności. 


2. Algorytm 

W tym rozdziale pojawiają się dwa warunki: 
e warunek wstepny — Precondition, 
e warunek końcowy — Postcondition 


oraz algorytm — algorytm Winograda. 
Jak się upewnić, że algorytm jest poprawny ze względu na warunek poczatkowy i warunek końcowy? 
W literaturze proponowane są dwa podejścia: 


e udowodnij częściową porawność sprawdzając pewne niezmienniki — jest to tzw. metoda Floyda- 
Hoare a, 
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» wykonaj pewną liczbę obliczeń testowych i zaufaj, że w trakcie eksploatacji algorytmu nie okaże 
się, że jest on niepoprawny. 


W obliczeniach testowych można w trakcie obliczeń sprawdzać wcześniej wstawione warunki — 
asercje. Czy rzeczywiście są one pomocne? 

W następnym rozdziale pokażemy inną drogę - drogę dowodzenia lematów i w końcu twierdzenia 
o poprawności (całkowitej) algorytmu Winograda względem warunku początkowego Precondition i 
warunku końcowego Postcondition. 


1: signal Niezgoda; 
2: unit Winograd : procedure(4A, B : array_of array_of real; output C : array_of array_of real); 
Precondition: wymagaj by A i B były macierzami kwadratowymi rozmiaru n xn 
Postcondition: zapewnij, że obliczona macierz C jest produktem macierzy AiB, C=A*B 
3: var i, j,k,n,m: integer, W,V : array_of real, p : boolean, s: real; 
4: begin 
{ ustalić czy macierze mogą być mnożone tzn. czy ilość wierszy w A = ilosc kolumn w B? } 
{ ustalić czy n jest parzyste? ) 
{ obliczyc preprocessing | 


£ dynamiczne sprawdzanie precondition |) 
; if lower(A) Æ lower(B) or lower(A)ź 1 or upper(A)ź upper(B) then 
raise Niezgoda 


:= upper(A); 

:= lower(A); 

10: ni=i-j+1; 

11: for l := j to i do 

12:  iflower(A(1)) £ lower(B(1)) or lower(A(1))ź 1 or upper(A(1))Æ upper(B(1) or upper(A(l)£upper(A) 


5 

6 

7: fi; 
8: i 

9: j 


then 
13: raise Niezgoda 
14: fi; 
15: od; 


Assertion sprawdzono: macierze są kwadratowe, rozmiaru n x n 


{ można mnożyć } 
16: p := (n mod 2) = 0; 
17: m := n div 2; 
18: array W dim(1 : n); 
19: array V dim(1 : n); 
20: array C dim(1 : n); 
21: for i:= 1 ton do 
22: array C(i) dim(1 : n) 
23: od; 


24: 
2): 
26: 
27: 
28: 
29: 
30: 


31: 
32: 
33: 
34: 
35: 
36: 
37: 


38: 
39: 
40: 
41: 
42: 
43: 


44: 


49: 


50: 
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{ obliczanie "preprocessingu" ) 
for j:= 1 ton do 
s:=0; 
for i := 1 tom do 
s := A[j, 2 x i — 1] x A[j, 2 * i] + s; 
od; 
W[j] := s; 
od; 


Assertion 1: Dla każdego j,1 < j < n, 


n--2 
W; = >) Ajai1 * Aji 
1=1 


for j:= 1 ton do 
s:=0; 
for i := 1 tom do 
s := B[2*i-1 j] * B[2*ij] +s; 
od; 


Assertion 2: Dla każdego j, 1 < j < n, 


n+2 
Vj = 2, Baii * Basij 
3=1 


{obliczanie iloczynu macierzy | 
for ¿i := 1 to n do 
for j := 1 to n do 
s:= 0; 
for k := 1 to m do 


s:= (A[i,2*k-1]+B[2*k.j]) * (B[2*k-1,j]J+A[i,2*k]) +s; 


od; 
n--2 
Assertion 3: Vi<i<n, V1<j<n» 8s=), (Ak 1 + Bok z) * (B2xk-1,j + Ai,2k) 
i=1 
C[i, j] := s— Wfi] — VIJ]; 
2(n--2) 
Assertion 4: V1<i<n; V1<j<n Ci; >> (Ak * By.) 
i=1 
if not p then 
C[i, j] := Cfi, j| + Ali, n] x B[n, j|; ( poprawiamy - gdy n jest nieparzyste ) 
fi; 
od; tj) 
od; (i) 


Assertion 5: Dla każdych wartości i,j, 1 Śiźn,l<j<n, 


endVW inograd; 
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3. Dowód poprawności 
Naszym zadaniem jest wykazać nastepującą implikację 
Precondition = [Algorytm Winograda]Postcondition 


co się czyta tak: jeśli dane spełniają warunek wstępny to algorytm Winograda kończy obliczenia nie 
sygnalizując błędu i wyniki spełniają warunek końcowy. 

Sprawdzenie czy warunek wstępny jest spełniony przez dane może być w części wykonane przez 
kompilator. Kompilator może sprawdzić czy parametry aktualne sa tablicami dwuwymiarowymi. Druga 
część warunku, że rozmiary tablic są równe n x n nie może być sprawdzona przed wywołaniem proce- 
dury Winograd, nie może też być udowodniona. Wobec tego wykonywanie procedury rozpoczynamy od 
(dynamicznego) sprawdzania kształtu i rozmiaru tablid"] Można rozważać czy nie dałoby się udowodnić, 
o programie stosującym procedurę Winograd, że warunek wstępny jest spełniony za każdym razem gdy 
procedura Winograd jest wywoływana w naszym programie. Ale czy można zagwarantować, że każdy 
program stosujący algorytm Winograda będzie sprawdzał warunek wstępny? lub go dowodził? Lepiej 
więc zostawić sprawdzanie warunku wstępnego procedurze Winograd. 


Do algorytmu Winograd wstawiliśmy asercje. Mają one za zadanie: 
1. umożliwić sygnalizację naruszenia warunku asercji w trakcie wykonywania programu, 
2. ułatwić argumentację na rzecz tezy o poprawności algorytmu. 


W tym przypadku trudno mówić o dynamiczej weryfikacji: ażeby sprawdzić warunek wyliczony w aser- 
cji trzeba powtórzyć obliczenia — to niewiele nam daje. Ponadto, tu uwaga natury ogólnej, zamiana asercji 
na instrukcję warunkową 


if warunek_asercji then wrzuć_ wyjątek fi 


zapewnia tylko tyle, że podczas wykonywania algorytmu zostanie zasygnalizowany błąd. Nie mamy 
nawet gwarancji, że zdarzy się to zawsze gdy program zawiera błędy. 


Natomiast asercje możemy zastąpić lematami i udowodnić je 


Lemat 1. Dla każdego j,1l < j < n,i m = n + 2 zachodzi 


s := 0; 
for i := 1 tom 
l da s n+2 
-= s := A[j,2*i — 1] * A[j, 2 * i] + s; (w a > AA Ajai) 
od; 
W[j] := s; 


'W loglanie’82 dwuwymiarowej tablicy możemy nadać kształt trójkatny, wstęgowy i oczywiście kształt kwadratowy 
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Lemat 2. Dla każdego j,1 < j < n,i m = n =+ 2 zachodzi 


8 := 0; 
for i := 1 tom 
do n2 
s := B[|2 x i — 1, j] x B[2 x i, j] + s; (U = 2. Baii * Bas) 
od; 
V[j] := s; 


Kolejny lemat 


Lemat 3. Vi<i<n, V1<j<n 
s := 0; 
for k:= 1 to m 
as ( = Sia: 2k—1 + Bok,j) * (B2k-1,j + Ai z) 
s:=(Afi,2*xk— 1] + B[2 * k, jl) Emo” s 4 
x(B[2 x k — 1, j] + Afi, 2 x k]) + s; 


od; 


Lemat 4. 
Przy założeniu, że tablice A i B są macierzami kwadratowymi rozmiaru n x n i że zachodzą lematy 1 
oraz 2, prawdziwa jest nastepująca formuła algorytmiczna 


8 :=0; 
for k := 1 tom 
do 2*(n-=-2) 
V1<i<n; V1<j<n S:= (Afi, 2xk— 1] + B[2 * k, jl) s= `> Aik * Bk,j 
x(B[2 x k — 1, j] + Aļi, 2 x k]) + s; = 
od; 


C[i, j] := s— Wfi] — V [j]; 
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Lemat 5. 
Z, prawdziwości lematów 1 i 2 wynika, że następująca formuła jest prawdziwa 


fori:=lton 


do 
for j := lton 
do 
s := 0; 
for k:= 1 to m 
do 
s := (Afi, 2 x k — 1] + B[2 x k, jl) A 
x(B[2 x k — 1,5] + Afi, 2 x k]) + s; (ESEE Cij = 2, Aik * Bu. 
gä: i=l 
C[i, j] := s — Wi] — V[J]; 
if not p 
then 
C[i, j] := Cli, j] + Afi, n] * Bfn, j] 
fi; 
od 
od 


4. Dowody lematów 


4.1. Dowód lematu 1 


W dowodzie wykorzystujemy następującą własność programów for: 
niech napis w(i) oznacza wyrażenie arytmetyczne (zmienna į może, ale nie musi, w nim wystepować) 


s:=0 

for i:=lton >. 

do ( = s) 
8 := w(i) +8 = 

od 


Pozostaje skorzystać z aksjomatu instrukcji przypisania 


( = Suto) => {W[j] := s) (wo = 0) 


i=0 


Dowody lematów 2 i 3 przebiegają podobnie. 
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4.2. Dowód lematu 4 


Należy udowodnić 


n--2 2(n--2) 
(s = X (Aak=1 + Bok j) * (B2xk-1,j + Ai2k) > (s — Wi] — V[j] = RA Aik * Bp) 
k=1 k=1 


Rozwińmy mnożenie i zastosujmy rozdzielność mnożenia wzgledem dodawania 


n-2 
D (Ai 2k—1 + Bokj) * (Boxk-1,j + Ai 2k) 
KI 


n--2 


= J |Azok=1 * Bosk=15 + Aiok=1 * Aik + Bok; * Bok 15 + Bokj * Ai,2k] 
kl 
n--2 n--2 n--2 n--2 

= )) Azok=1* Boxk1j + 2, Azok-1 * Aik + 0, Bopj * Bopo15 + 2, Bok j * Ai 2k 
=i k=1 k=1 Si 


Skorzystamy z lematów 1 oraz 2 


n2 n+2 n2 
X (A2k=1 + Bop j) * (B2xk—1,j + Ai 2k) — W [i] — V [j] = 9 Ai ok 1 * Bosk—15 + y Bok j * Åi 2k 
k=1 k=1 k=1 


Wykorzystujemy przemienność mnożenia i łączność dodawania 


n--2 n--2 2(n--2) 
) Ai ok=1 * Bowk_15 + ) Bop j * Åi 2k = ) Air * Bkj 
k=1 kai jet 


4.3. Dowód lematu 5 
Trzeba wykazać, że 


if notp 
then 
Cii, j] := Cli, j] + Afi, n] * Bin, j] 


2(n--2) 


(= O Age By) (s= SD Aik * Be) 
k=1 k=1 


fi; 
Pamiętamy, że p= (n mod 2 =0). Jeżeli n jest liczbą parzystą to 2(n + 2) = n. 


n 
Ci = S Ak x Bk j 
i=1 


W przeciwnym przypadku (tzn. gdy not p) sumowanie zakonczyło się dla k = n — 1. Trzeba więc dodać 
wartość Aļi, n] * B[n, j] 
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5. Uwagi końcowe 


1. Zauważ, że algorytm ten pozwala mnożyć macierze liczb zespolonych, ... Zmieńmy nagłówek proce- 
dury 


unit Winograd_Generic: procedure( type T, function add(x,y:T):T, function mult(x,y:T):T, 
function subt(x,y:T):T, A, B: array_of array_of T, output C: array_of array_of T); 


i odpowiednio w treści procedury zapiszmy add(u,v) zamiast u+v, mult(u,v) zmiast u*v, subt(u,v) 
zamiast u-v., 

Nasz warunek wstępny przybiera teraz inną postać 
Precondition: Argumenty procedury Winograd_Generic spełniaja następujące warunki 


1. pierwszy argument jest nazwą klasy, 


2. kolejne trzy argumenty są nazwami funkcji, dwuargumentowych ze zbioru ITI obiektów typu T w 
zbiór ITI, 


3. następne dwa argumenty to nazwy tablic kwadratowych jednakowego rozmiaru n x n, 


4. ostatni argument także jest nazwą tablicy, tablica ta zostanie przekazana wywołującemu procedurę 
Winograd_Generic, 


5. zbiór IT| obiektów klasy T wraz z operacjami add, mult i subt jest pierścieniem. 


Postcondition: Algorytm zwraca tablicę C obiektów typu T, taką, że dla każdych í, j, 
l<i<n1l<j<n 


Ciz = [add] P0 mult(A;k, Bk j) 
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Poprzednia wersja dowodu lematu 1 
Niech j będzie liczbą naturalną taką, że 1 < j < n, niech m = n + 2. Wykażemy, po wykonaniu 


n--2 
instrukcji ujętych w nawiasy zachodzi warunek W; = J. Aj 2i—1 * Aj ai. 
i=1 


Przypadek m = 0. Jesli m jest równe zero to na mocy aksjomatu instrukcji for 


for i := 1 to 0 do K odda & a 


mamy równoważną jej formułę, 
s:=0: n--2 
ma W; = > Ag,ai1 * Áj,2i 
| w. |("-$ 


n--2 
{s := 0; W [j] := s; } (w =), Ajai=1* Ajai) 


i=l 


czyli 


Jeśli dwukrotnie zastosujemy aksjomat instrukcji przypisania to otrzymamy najpierw 


n--2 
{s := 0;} ( = 3” Aj 2i—1 * Asai) 


i=1 
a potem 
n--2 
(o = `y Aj 2i—1 * Ajai) 
i=1 


Równocześnie z własności sumy > wyrażenie po prawej znaku = ma wartość zero, co kończy analizę 
przypadku m = 0 ponieważ wszystkie te formuły sa sobie równoważne. 


Krok indukcyjny Załóżmy, że nasz lemat zachodzi dla wartości m równej k. Wykażemy, że za- 
chodzi on też dla m = k + 1. Rozważmy formułę 


8:= 0; 
fori:=ltok+1 


do k+1 
s:= A[j,2xi— 1] x A, 2x i] +; ( ię l sa) 


Wykorzystamy inny aksjomat instrukcji for. 
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{for i := 1 ton + 1doK od}a & {for i := 1 ton do K od;i :=n+1;K} a 


Z założenia indukcyjnego wiemy, że 
8:= 0; 


fori:=ltok k 
do ( = 3) Aj 2i—1 * Asa) 


s := A[|j,2 x i — 1| x A[j, 2 * i] + s; i=1 
od; 


Pozostaje do wykazania, że 


k k+1 
| =Ñ Ajzi1* Asai) = {i := k+ 1; s := A[j,2*i— 1] * A[j, 2x i] + s)(s = X Azoio1 * Ajai) 
i=1 i=1 


... UZUPEŁNIJ! 


